從今年年初開始,GlobalSign就和阿碼共同建立了一個專門掃描惡意網站的平臺。
在七月一日(星期五)時,我們發現到部份被感染的網站被插入了一個iframe指向 www.camcert.gov.kh,一個位於柬埔寨的Cert單位。
我們立即著手分析CamCERT的網站,證實了他確實被入侵並且已被植入了CramePack這一個Exploit Pack,會針對 CVE-2006-0003, CVE-2010-0806, CVE-2009-3867, CVE-2010-0806, CVE-2007-5659, CVE-2009-0927, CVE-2008-2992, and CVE-2009-3269 這些弱點來產生 Drive-by Download的行為,讓瀏覽者自動下載惡意程式並且執行。
被感染的網站包含了一段被插入的javascript,會動態產生一個iframe指向www.camcert.gov.kh:
產生的iframe如下:
http://www.camcert.gov.kh/userfiles/.cache/nolock/index.phpCrimepack的植入點在 http://www.camcert.gov.kh/userfiles/.cache 裡面的 "nolock" 目錄:
透過瀏覽器連向http://www.camcert.gov.kh/userfiles/.cache/nolock/control.php,會出現Http Basic authentication的認證,在此時輸入Crimepack的預設帳號:"crimepack",及空白密碼後,即可看到Crimepack的UI介面,如同此篇報導一開始秀出的畫面。
我們立刻通知CamCERT,在幾個小時過後我們收到了一封E-mail:他們已經在處理這個事件了。
GlobalSign針對此次事件的報導
0 篇回應 :
張貼留言